Post on 18-Apr-2015
Normas ISO/IEC de Segurança da InformaçãoISO/IEC 27001:Objetiva prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco seções:
O Sistema de Gestão da Segurança da Informação; A responsabilidade da administração; As auditorias internas do ISMS; A revisão do ISMS; A melhoria do ISMS.
Ciclo PDCAO modelo PDCA (ou ciclo de Deming) é usado
para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas:Planejar (Plan) Executar (Do) Verificar (Check)Agir (Act)
Ciclo PDCA
Ciclo PDCA
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informaçãoISO/IEC 27002:
Substitui a antiga ISO/IEC 17799;Dividida nas seguintes seções:
1. Política de segurança da informação;2. Organizando a segurança da informação;3. Gestão de ativos;4. Segurança em recursos humanos;5. Segurança física do ambiente;6. Gestão das operações e comunicações;
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação
7. Controle de acesso8. Aquisição, desenvolvimento e manutenção de
sistemas de informação;9. Gestão de incidentes de segurança da informação;10. Gestão da continuidade do negócio;11. Conformidade.
ISO/IEC 27002 - Política de segurança da informação1. Elaboração do Documento da Política de
Segurança da Informação
ISO/IEC 27002 - Organizando a segurança da informação1. Infra-estrutura da Segurança da Informação2. Partes Externas
ISO/IEC 27002 - Gestão de ativos1. Responsabilidade Pelos Ativos2. Classificação da Informação
ISO/IEC 27002 – Segurança em recursos humanos1. Antes da Contratação2. Durante a Contratação3. Encerramento ou Mudança da Contratação
ISO/IEC 27002 - Segurança física do ambiente1. Áreas Seguras
1. Perímetro de segurança física2. Controles de entrada física3. Segurança em escritórios, salas e instalações4. Proteção contra ameaças externas e do meio ambiente5. Trabalhando em área seguras6. Acesso do público, áreas de entrega e de carregamento
2. Segurança de Equipamentos1. Instalação e proteção do equipamento2. Utilidades3. Segurança do cabeamento4. Manutenção dos equipamentos5. Segurança de equipamentos fora das dependências da organização6. Reutilização e alienação segura de equipamentos7. Remoção de propriedade
ISO/IEC 27002 - Gestão das operações e comunicações1. Procedimentos e Responsabilidades Operacionais2. Gerenciamento de Serviços Terceirizados3. Planejamento e Aceitação dos Sistemas4. Proteção Contra Códigos Maliciosos e Códigos
Móveis5. Cópias de Segurança6. Gerenciamento da Segurança em Redes7. Manuseio de Mídias8. Troca de Informações9. Serviços de Comércio Eletrônico10. Monitoramento
ISO/IEC 27002 - Controle de acesso1. Requisitos de Negócio Para Controle de
Acesso2. Gerenciamento de Acesso do Usuário3. Responsabilidades dos Usuários4. Controle de Acesso à Rede5. Controle de Acesso ao Sistema Operacional6. Controle de Acesso à Aplicação e à
Informação7. Computação Móvel e Trabalho Remoto
ISO/IEC 27002 - Aquisição, desenv. e manut. de sist. de informação1. Requisitos de Segurança de Sistemas de
Informação2. Processamento Correto nas Aplicações3. Controles Criptográficos4. Segurança dos Arquivos do Sistema5. Segurança em Processos de
Desenvolvimento e Suporte6. Gestão de Vulnerabilidades Técnicas
ISO/IEC 27002 - Gestão de incidentes de seg. da informação1. Notificação de Fragilidades e Eventos de
Segurança da Informação2. Gestão de Incidentes de Segurança da
Informação e Melhorias
ISO/IEC 27002 - Gestão da continuidade do negócio1. Aspectos da Gestão da Continuidade do
Negócio, Relativos à Segurança da Informação
ISO/IEC 27002 - Conformidade1. Conformidade com Requisitos Legais2. Conformidade com Normas e Políticas de
Segurança da Informação e Conformidade Técnica
3. Considerações Quanto à Auditoria de Sistemas de Informação
Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27000:2009 - Sistema de Gerenciamento de
Segurança - Explicação da série de normas, objetivos e vocabulários;
ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas.
ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27003:2010 - Diretrizes para Implantação de um
Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005.
ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação.
ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.
Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27006:2007 - Requisitos para auditorias
externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer.
ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação.
ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO 27001.
Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27010 - Gestão de Segurança da Informação para
Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais.
ISO/IEC 27011:2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.